中国政府支援のハッカー集団が、米国製AIを活用し、史上最も高度なスパイ活動の一つを実行した。アントロピック社のClaude Codeを用いて、単純作業の最大90%を自動化したと、同社の脅威情報チームが11月に発表した報告書で明らかになった。
9月中旬に検知され、GTG-1002として追跡されているこの攻撃は、約30の組織を標的とし、数件の侵入が確認された。 Anthropic says このグループは、モデルを操作して自律型ペネトレーションテスターの群れのように動作させ、ネットワークをスキャンし、エクスプロイトを構築し、水平方向に移動して、「物理的に不可能」なリクエスト速度でデータを盗み出しました。人間は主に重要な手順の承認を行うために介入しました。
捜査官は、キャンペーンのマッピング後、アカウントを禁止し、影響を受けた組織に通知し、当局と協力しました。
私たちは、高度に洗練されたAI主導のスパイ活動キャンペーンを阻止しました。
この攻撃は、大手テクノロジー企業、金融機関、化学製造会社、政府機関を標的としていました。私たちは、脅威アクターが中国政府支援のグループであると高い確信を持って評価しています。
--- Anthropic (@AnthropicAI) 2025年11月13日
「これは、エージェントAIが情報収集のために、確認済みの高価値ターゲットへのアクセスに成功した初の記録された事例です」と報告書は述べ、被害者には大手テクノロジー企業や政府機関が名指しされています。
ツールチェーンは自社開発ではありませんでした。フレームワークは「オープンソース」のセキュリティツールと、それらを連携させるAnthropicの米国製モデルに大きく依存していました。
GTG-1002のプレイブックは、AIをソーシャルエンジニアリングで操り、正当な防御者を装ってクロード・コード氏を攻撃任務に誘い込むことに重点が置かれていました。準備が完了すると、モデルは偵察、脆弱性発見、認証情報テスト、ラテラルムーブメント、そして大規模なデータトリアージを処理しました。アントロピック社は、AIが最小限の人間による監視の下で、戦術的オペレーションの80~90%を実行したと推定している。
しかし、限界もあった。クロードは時折幻覚を起こし、実際には機能しない認証情報を主張したり、公開されている「発見」を誇張したりして、オペレーターにその出力を検証させようとした。こうした摩擦によってキャンペーンは減速したものの、阻止することはできなかった。アントロピック社は、このキャンペーンを、今夏詳細を公表したAI支援型攻撃の「大幅なエスカレーション」と呼んでいる。
アントロピック社は、こうした悪用を可能にするのと同じ機能が今や防衛に不可欠であると主張し、自律型攻撃に対する早期警戒システムを拡充していると述べた。
同社は被害者の氏名を明らかにしなかった。